Linux，一个正在上升的操作系统ContentsLinux操作系统的优点Linux操作系统的优点Linux操作系统Linux操作系统Linux操作系统Linux操作系统的安全功能Linux操作系统安全功能
PAM机制PAM（PluggableAuthenticationModules）是一套共享库，其目的是提供一个框架和一套编程接口，将认证工作由程序员交给管理员，PAM允许管理员在多种认证方法之间作出选择，它能够改变本地认证方法而不需要重新编译与认证相关的应用程序。
PAM的功能包括：
●加密口令（包括DES以外的算法）；
●对用户进行资源限制，防止DOS攻击；
●允许随意Shadow口令；
●限制特定用户在指定时间从指定地点登录；
●引入概念“clientplug-inagents”，使PAM支持C/S应用中的机器——机器认证成为可能，如智能卡、指纹识别等认证方法。

强制访问控制
强制访问控制（MAC，MandatoryAccessControl）是一种由系统管理员从全系统的角度定义和实施的访问控制，它通过标记系统中的主客体，强制性地限制信息的共享和流动，使不同的用户只能访问到与其有关的、指定范围的信息，从根本上防止信息的失泄密和访问混乱的现象。入侵检测系统利用Linux配备的工具和从因特网下载的工具，就可以使Linux具备高级的入侵检测能力，这些能力包括：
记录入侵企图，当攻击发生时及时通知管理员；
在规定情况的攻击发生时，采取事先规定的措施；
发送一些错误信息，比如伪装成其他操作系统，这样攻击者会认为他们正在攻击一个WindowsNT或Solaris系统。
加密文件系统
加密文件系统就是将加密服务引入文件系统，从而提高计算机系统的安全性。目前Linux已有多种加密文件系统，如CFS、TCFS、CRYPTFS等，较有代表性的是TCFS（TransparentCryptogrAPhicFileSystem）。它通过将加密服务和文件系统紧密集成，使用户感觉不到文件的加密过程。TCFS不修改文件系统的数据结构，备份与修复以及用户访问保密文件的语义也不变。
TCFS能够做到让保密文件对以下用户不可读：合法拥有者以外的用户、用户和远程文件系统通信线路上的偷听者、文件系统服务器的超级用户。而对于合法用户，访问保密文件与访问普通文件几乎没有区别。
安全审计
即使系统管理员十分精明地采取了各种安全措施，但还会不幸地发现一些新漏洞。攻击者在漏洞被修补之前会迅速抓住机会攻破尽可能多的机器。虽然Linux不能预测何时主机会受到攻击，但是它可以记录攻击者的行踪。
Linux还可以进行检测、记录时间信息和网络连接情况。这些信息将被重定向到日志中备查。日志是Linux安全结构中的一个重要内容，它是提供攻击发生的唯一真实证据。因为现在的攻击方法多种多样，所以Linux提供网络、主机和用户级的日志信息。



Linux防火墙系统提供了如下功能：
●访问控制。可以执行基于地址（源和目标）、用户和时间的访问控制策略，从而可以杜绝非授权的访问，同时保护内部用户的合法访问不受影响。
●审计。对通过它的网络访问进行记录，建立完备的日志、审计和追踪网络访问记录，并可以根据需要产生报表。
●抗攻击。防火墙系统直接暴露在非信任网络中，对外界来说，受到防火墙保护的内部网络如同一个点，所有的攻击都是直接针对它的，该点称为堡垒机，因此要求堡垒机具有高度的安全性和抵御各种攻击的能力。
●其他附属功能。如与审计相关的报警和入侵检测，与访问控制相关的身份验证、加密和认证，甚至VPN等。wps.cn/moban